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摘要 : 互联 网 技术 的 普及 和 发 展 使 得 网 络 安全 形势 日 
而 作为 网 络 内 容 安全 处 理 核心 技术 的 模式 串 匹 配 算法 也 面临 着 新 的 挑战 。 本 文 针对 高 速 网 络 内 容 安全 处 理 
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面向 高 速 网 络 内 容 安全 处 理 的 串 匹 配 算法 


， 对 网 络 内 


容 安全 处 理 技术 提出 了 更 高 的 要 求 ， 


的 需求 ， 提 出 了 三 种 类 型 的 串 匹 配 算法 ， 包 括 软 件 算法 (如 : 最 优 窗口 选择 算法 )， 指 令 集 算 法 (如 : 基于 
SSE 指令 集 的 串 匹 配 算法 ) 和 硬件 算法 (如 : 基于 FPGA 的 串 匹 配 算法 )。 它 们 极 大 地 提高 了 模式 串 匹 配 的 速 
度 ， 符 合 高 速 网 络 内 容 安 全 处 理 系 统 的 要 求 。 
关键 词 : 高 速 网 络 内 容 安全 处 理 ， 最 优 窗口 选择 ， 指 令 集 算法 ， 硬 件 算法 
1 背景 与 研究 意义 

近年 来 , 随 着 互联 网 技术 的 普及 和 发 展 ， 互联 网 协议 和 计算 机 系统 的 漏洞 造成 的 网 络 安 
全 形势 日 趋 严峻 ,传统 的 网 络 内 容 安 全 处 理 技术 的 存储 空间 和 运算 速度 已 经 难以 满足 实时 高 
速 网 络 环境 下 的 应 用 需求 , 成 为 限制 网 络 内 容 安全 处 理 技术 发 展 的 瓶颈 。 而 面向 高 速 网 络 内 


容 安全 处 理 的 串 匹 配 技术 处 到 
成 为 网 络 安全 领域 的 


模式 串 匹配 算法 是 网 络 内 容 安全 处 
一 。 在 网 络 安全 领域 ， 网 络 内 容 安全 人 处理 技术 3 
网 络 包 的 内 容 负 载 ， 


Algorithms) 
和 分 类 。 


HH 


市 


口 


As 
究 热 点 。 


来 分 析 


ES 
日 : 


下 配 是 于 


出 现 位 置 


| 泛 的 应 用 


， 并 且 成 为 


则 表达 式 匹 配 两 方面 开展 。 
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算法 的 改进 了 


相关 工作 


模式 串 匹 配 算法 是 网 络 内 容 安全 处 到 
言 翻译 、 拼 写 检 查 、 生 物 计 算 等 领域 发 


近年 来 ， 


[ 作 ， 新 的 算法 设计 也 


”本 文 下 


层出不穷 。 


三 
昧 乡 


展 的 关键 


。 广 义 的 模式 串 匹 配 算法 包括 : 精确 
匹配 算法 。 精 确 多 模式 串 匹 配 是 串 


因素 ， 


速度 快 、 实 时 性 高 ， 已 经 得 到 学 术 界 和 工业 界 的 广泛 关注 ，j 


邮件 检测 CAV/AS)、 


CUITM) 都 是 较为 典型 的 应 用 。 
给 定 模式 串 集合 P， 对 于 任意 的 输入 文本 了 T， 找 出 局 


多 模式 串 


素 。】 
时 串 规则 不 能 精确 


J] 近年 来 ， 


究 工作 得 到 国 


自然 科学 基金 项 


61070026) 支持 
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“面向 高 速 网 络 内 容 


灾 全 处 


里 的 专用 系统 结构 ”( 项 目 批准 


的 核心 技术 ， 也 是 计算 机 科学 领域 研究 的 焦点 之 
要 采用 模式 串 匹 配 算法 (Pattern Matching 
并 根据 预先 设 定 的 规则 对 特定 的 网 络 数据 进行 识别 
t 中 ， 入 侵 检 测 / 防 御 系 统 (IDS/IPS)、 反 病毒 和 反 垃 专 
宽 管 理 和 服务 质量 (QoS )、 统 一 威胁 管 至 


所 谓 横 式 串 
在 了 中 的 所 有 
式 匹 配 算 法 和 近似 
在 入 侵 检测 系统 中 得 到 
网 络 内 容 安全 威胁 的 病毒 规则 日 益 复杂 , 在 应 用 系统 
户 的 语义 需求 , 这 就 需要 使 用 正则 表达 式 表达 更 复杂 的 语义 。 本 文 的 工作 从 精确 串 


网 络 


的 模式 串 
匹配 算法 、 正 则 表达 
元 配 技术 中 最 成 熟 的 一 种 技术 ,已 经 
啊 系 统 性 能 的 决定 性 因 
昌 ， 有 时 精 丰 


构成 


外地 表达 用 
下 配 和 正 


的 核心 技术 ， 也 是 关系 到 文本 检索 、 搜 索引 敬 、 语 
因此 近年 来 出 现 了 各 种 对 经 典 串 


史 配 


国内 外 研究 者 在 精确 串 匹 配 算法 研究 方面 产生 了 很 多 新 的 结果 。 文 献 [1] 提 出 


du 


面向 高 速 网 络 内 容 安全 处 理 的 串 匹 配 算法 


了 一 种 时 间 复 杂 度 最 优 的 精确 串 匹 配 算法 LDM (Linear DAWG Matching， 线 性 DAWG? 匹 
配 )。 该 算法 将 文本 划分 为 相互 重 琶 的 窗口 , 并 在 每 个 窗口 内 综合 使 用 后 级 自动 机 DAWG 和 
AcC- 自 动机 进行 扫描 ， 保 证 了 线性 的 最 坏 时 间 复 杂 度 和 亚 线性 的 平均 时 间 复 杂 度 ; 文献 [2， 
3] 使 用 布 隆 过 滤器 (Bloom Filter) 技术 进行 串 匹 配 ， 将 特征 串 按照 长 度 进 行 分 组 ， 相 同 长 度 
的 特征 串 被 分 在 同一 组 ， 每 一 组 用 一 个 布 隆 过 滤 引 擎 进行 过 滤 。 


学 术 界 对 正则 表达 式 匹 配 技术 也 进行 了 深入 研究 。 文 献 [ 外 用 规则 分 类 和 规则 改写 的 方 
法 来 化 简 正 则 表达 式 , 文中 提出 了 两 条 改写 规则 以 降低 线性 规模 的 状态 数 , 但 是 这 仅 适 合 于 
非 重 全 匹配 的 情况 ， 因 此 限制 了 它 的 使 用 范围 ， 文 献 [5，6] 提 出 了 输入 延 时 有 限 自动 机 
(Delayed input Deterministic Finite Automata, D2FA) 和 delta-FA (Delta Finite Automata) 
方法 来 压缩 确定 自动 机 的 存储 空间 ,它们 都 是 利用 相 邻 状态 之 间 的 关系 来 减少 转换 表 中 转移 
的 数目 ， 从 而 降低 自动 机 的 存储 空间 ， 但 是 都 有 状态 更 新 费时 的 缺陷 ,所 以 实际 匹配 性 能 不 


| 司 。 


尽管 现 有 的 串 匹 配 算法 众多 ， 但 仍 存在 以 下 几 点 不 足 : (这 些 算 法 只 能 处 理 中 等 规模 
以 下 的 模式 串 集 合 ， 当 模式 串 集合 规模 扩大 时 ， 处 理性 能 大 幅度 降低 ;(2) 这 些 算法 只 对 某 
些 特 定 类 型 的 模式 串 具 有 一 定 的 效果 ， 不 具有 普遍 性 ; (3) 上 述 硬件 算法 在 实际 系统 中 并 不 
能 满足 实时 处 理 网 络 内 容 的 要 求 。 因 而 ， 仍 需要 我 们 设计 更 好 的 模式 串 匹 配 算法 。 


3 ”我 们 的 研究 工作 介绍 


我 们 从 精确 串 匹 配 技 术 和 正则 表达 式 匹 配 技 术 入 手 , 提出 软件 算法 、 指 令 集 算法 和 硬件 
算法 三 种 类 型 的 串 匹 配 算法 。 其 中 ， 软 件 算法 设计 了 最 优 窗口 选择 算法 ， 指 令 集 算 法 利用 
SSE 指令 集 对 SOG 算法 和 经 典 的 位 并 行 算法 优化 ， 人 硬件 算法 实现 了 基于 现场 可 编程 门 阵列 
(FPGA) 的 正则 表达 式 匹 配 算法 。 这 些 算 法 在 提高 匹配 速度 方面 取得 了 良好 效果 。 


3.1 软件 算法 : 最 优 窗口 选择 算法 


在 串 匹配 算法 中 ， 后 
级 算法 因 其 高 效 的 匹配 速 
度 而 得 到 广泛 应 用 ， 但 它 
要 求 模式 串 等 长 ， 这 个 条 
件 在 实际 应 用 中 往往 无 法 
满足 。 一 般 的 后 级 算法 处 
理 方法 非常 简单 ， 如 吴 -- 
曼 博 (Wu-Manber) 只 算法 
选取 模式 串 最 左边 的 长 度 | 窗口 

、 如 立 R AN 中 沁 模 二 

et 图 1 ”SBOM 算法 找到 所 有 模式 串 出 现 的 位 置 
处 理 方法 没有 考虑 选取 的 部 分 串 对 匹配 性 能 的 影响 。 我 们 提出 一 种 子 串 提取 方法 ， 从 模式 品 
集合 中 提取 出 部 分 串 集 合 构造 基本 数据 结构 , 用 此 数据 结构 扫描 文本 串 , 以 达到 尽 可 能 大 的 
匹配 速度 。 


我 们 采用 SBOM(Set Backward Oracle Matching) 算 法 在 训练 过 程 完成 模式 串 集 合 的 部 


2 Directed Acyclic Word Graph， 有 向 无 环 字 图 
3 Aho-Corasick， 阿 霍 - 克 若 思 克 
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的 提取 ， 见 图 1。 用 了 表示 文本 串 ，P 表示 文本 的 长 度 ，m 表示 模式 串 集合 
={ pi, Pp,，…,p,} 中 最 短 的 模式 囊 长 度 ， k 表示 搜索 文本 串 时 滑动 窗 的 总 次 数 ， di 表示 第 

窗口 两 个 对 应 字符 的 比较 次 数 ， 则 总 的 时 间 开 销 为 yd, ， 满足 等 式 km -Yd, =n， 则 
可 得 公式 1 和 公式 2: 


y 
A 
» 


totalcost =km—n (1) 


k 
averagecost =~— -1 (2) 
n 


由 公式 2 可 知 ，k 最 小 时 ， 平 均 开销 最 小 。 而 k 由 长 度 为 m 的 部 分 串 集合 
Q={gabgpgx msga} 决定 ， 但 由 于 Q 的 数目 过 大 ， 因 此 无 法 通过 遍历 Q 得 到 最 小 的 天 值 。 
故我 们 采取 一 种 近似 最 优 的 方法 , 对 一 条 模式 串 的 每 个 部 分 串 计 算 其 时 间 开 销 ， 从 而 可 选 出 
时 间 开 销 最 小 的 部 分 串 ， 将 所 有 部 分 串 并 起 来 即 可 得 到 @ 。 


L 体 步 骤 如 下 ， 对 模式 串 p; 中 的 任 一 部 分 串 q; ， 


步 又 1: 首先 计算 其 所 有 子 串 si ， 1 ， 设 
six 的 长 度 为 z ， 则 每 个 子 串 的 时 间 开 销 为 cj x 


步骤 2: 将 所 有 子 串 的 时 间 开 销 累加 ， 计 算得 到 每 个 部 分 串 的 时 间 开 销 ; 


步 又 3: 重复 步 又 1 和 步骤 2 计算 该 模式 串 中 其 它 部 分 串 的 时 间 开 销 ， 然 后 选 出 时 间 开 
销 最 小 的 部 分 串 ; 


步骤 4: 重复 步 又 1、 步骤 2 和 步骤 3 计算 其 它 模式 串 的 最 佳 部 分 串 。 


我 们 提取 Snortgl 中 的 模式 串 为 实验 数 
据 ， 可 以 得 到 图 2 所 示 的 结果 。 在 图 2 中 ， 
“right”“left” 和 “middle” 分 别 指 的 是 从 
最 右 、 最 左 和 中 间 三 个 位 置 提取 m 个 字符 。 
Mincost 代表 我 们 算法 提取 的 子 串 。 从 图 中 可 
以 看 出 ， 虽 然 四 种 算法 随 着 模式 串 规 模 的 增 
长 ， 匹 配 速度 都 呈现 下 降 趋势 。 但 是 我 们 的 He 
算法 同 它 三 种 了 于 串 提 取 的 方法 相 比 ， 速度 “1000 1500 2000 2500 3000 3500 a 4500 
更 快 ， 比 right 方式 快 20% 左 右 ， 并 且 随 着 模 模式 串 集合 规模 
式 串 规模 的 增长 , 我 们 算法 的 速度 下 降 更 慢 。 图 从 不 同位 置 提取 部 分 串 的 匹配 速度 


与 模式 串 规 模 变 化 关系 


3.2 指令 集 算法 : 基于 SSE 指令 集 的 串 匹 配 算法 


SSE 〈Streaming SIMD Extensions 单 指令 多 数据 流 扩 展 ) 系列 指令 集 提供 了 一 组 大 位 宽 
的 寄存 器 , 文 持 128 位 数据 的 并 行 操作 。 本 文 利用 SSE 指令 集 对 经 典 的 位 并 行 算法 (Shift-And 
和 BNDM) 和 SOG 算法 进行 优化 。 

Shift-And 算法 和 BNDM 算法 是 经 典 的 位 并 行 算法 ， 设 机 器 字 的 长 度 为 w， 文 本 串 的 长 
度 为 mm， 模式 串 的 个 数 为 r， 最 短 模式 串 长 度 为 不 ， 那 么 Shift-And 算法 和 BNDM 算法 的 时 
间 复 杂 度 为 O(n| mr /w |) 。 由 于 采用 了 位 并 行 技术 ，Shift-And 算法 和 BNDM 算法 的 匹配 
速度 是 很 快 的 。 但 一 旦 模式 串 的 长 度 和 超出 机 器 字 的 长 度 , 两 种 算法 的 性 能 都 会 发 生 明 显 下 
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利用 SSE 指令 集 对 Shift-And 算法 和 BNDM 算法 进行 优化 的 基本 思想 是 :采用 位 向 量 D 
记录 每 个 模式 串 前 绥 或 子囊 和 当前 文本 上 的 匹配 状态 , 将 多 个 模式 串 的 状态 向 量 打包 (pack) 
到 128 位 的 SSE 寄存 器 上 《如 图 3 所 示 )。 在 匹配 的 过 程 中 ， 每 读 入 一 个 文本 串 字符 就 通过 
SSE 指令 集 提 供 的 位 操作 指令 〈 逻 辑 “ 或 和 还 辑 “ 与 入 左 移 ) 更 新 状态 向 量 D， 并 通过 
SSE 指令 集 提供 的 位 比较 指令 来 检测 特定 的 位 以 判断 模式 串 和 文本 是 否 匹 配 成 功 。 


128 位 SSE 寄 存 器 
pat6 pat5 pat4 pat3 pat2 pat1 


10101010111101011111000111001|10010110011111010110|000101101 


Mm-dt+1i—><-m-qt+1i—><-m-d+1—><—-m-q+1—><—m-q+1 一 <—m-d+1— 


图 3， ”Shift-And 算法 、BNDM 算法 和 SOGOPT 算法 过 滤 阶 段 的 SSE 指令 优化 示意 图 


3.0 ee 
2.5 本 人 
宇 DG Do- “0 

| 2.0 

发 1.5 一 "一 “SSE-SA/SA 
1.0 -DO-- SSE-BNDM/BNDM 
0.5 


0 01 020304 0506 07080910 
模式 串 个 数 (103) 

图 4.， ”优化 算法 和 原始 算法 的 

速度 比值 “模式 串 长 度 为 6B) 


SN 
时 


实验 中 , 把 优化 后 的 Shift-And ( 称 
为 SSE-Shift-And ) 算法 和 优化 后 的 
BNDM (SSE-BNDM) 算法 与 原 算 法 
比较 (如 图 4)， 可 知 SSE-Shift-And 算 
法 和 SSE-BNDM 算法 都 达到 了 良好 的 


加 速效 果 ， 且 随 着 模式 串 个 数 的 增加 ， 60 
两 种 算法 的 加 速 比 基本 保持 不 变 。 
SOG 算法 0 是 . Salmela 等 人 提出 50 
的 面向 10 万 规模 模式 串 的 匹配 方法 ,该 ”_、 
算法 将 模式 串 集合 三 
: 其 
p=|p pp 其 30 
En 
有 


规约 为 一 个 通 配 形式 的 模式 串 p; 然后 20 
使 用 Shift-OR 算法 对 p 进行 搜索 ; 最 后 
使 用 二 级 哈 希 和 二 分 搜索 校 验 可 能 出 现 10 
的 位 置 , 并 报告 出 所 有 真正 匹配 的 结果 。 

由 SOG 算法 基本 原理 可 知 其 过 滤 阶 段 0 
的 误 报 率 为 


P, =(r/o)"™ (1 1/(r™))., 


WM SBOM KR DIM SOG 


图 6， 算法 匹配 速度 对 比 (25 万 条 URL 模式 串 ) 


nt 


随 着 模式 串 规模 r=|P| 的 增 大 ，SOG 算法 的 过 滤 效 果 越 来 越 差 ， 需 要 进行 校 验 的 次 数 越 来 
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越 多 ， 极 大 地 降低 了 算法 的 匹配 速度 。 为 此 ， 本 文采 用 模式 串 分 组 归 约 的 方法 来 改进 SOG 

算法 的 过 滤 效 果 。 


模式 串 分 组 规约 基本 思想 是 :将 模式 申 集合 平均 分 为 g 组，P=P uP.…uP,， 将 每 
一 组 模式 串 Pp 单独 规约 为 一 个 通 配 形式 的 模式 串 忆 (< j < g) ， 然 后 将 这 g 个 通 配 模式 Pp 
拼接 到 一 个 机 器 字 中 ， 使 用 SOG 算法 进行 并 行 搜索 。 设 机 器 字 位 宽 为 w， 因 为 每 个 通 配 模 
式 Pj 需要 m-q+1 比特 位 来 表示 ， 因 此 最 多 可 以 将 模式 串 集合 划分 为 g=| wy(m -q+l)| 组 。 


本 文 使 用 的 算法 是 利用 最 大 二 部 图 匹配 理论 为 模式 串 选 择 最 优 窗口 ， 对 SOG 优化 后 形 
成 的 SOGOPT 算法 。 我 们 在 分 组 规约 后 的 SOGOPT 算法 中 引入 SSE 指令 ， 利 用 SSE 寄存 
器 的 位 宽 来 减少 算法 的 校 验 次 数 。 具 体 方法 是 ， 采用 位 向 量 D 记录 每 个 通配符 串 的 前 级 与 
当前 文本 了 的 匹配 状态 ， 将 状态 向 量 打 包 到 128 位 的 SSE 寄存 器 。 在 匹配 过 程 中 ， 每 读 入 
一 个 文本 字符 就 通过 SSE 指令 集 提 供 的 位 操作 指令 更 新 状态 向 量 D， 并 检测 特定 的 位 以 判 
断 是 否 匹 配 成 功 。 

我 们 从 骨干 路 由 器 上 采集 了 约 100GB 的 UREL 数据 ， 从 匹配 速度 和 存储 空间 两 个 方面 ， 
将 SOGOPT 算法 与 原始 的 SOG 算法 以 及 多 种 串 匹 配 算法 AC、WM、SBOM、KR、DTM 进 
行 了 对 比 测试 。 可 以 发 现 ，SOGOPT 算法 匹配 速度 最 快 ， 内 存 消耗 也 维持 在 合理 范围 之 内 。 
测试 结果 如 图 5、 图 6 所 示 。 


3.3 硬件 算法 : 基于 现场 可 编程 门 阵列 的 串 匹 配 算法 


人 著 


随 着 网 络 带 宽 的 高 速 增长 , 正则 表 
达 式 匹配 的 硬件 方法 备 受 关注 , 目前 已 
经 有 多 种 基于 非 确定 型 有 限 自 动机 

(Non-deterministic Finite Automaton， 

NEFA) 和 确定 型 有 限 自动 机 (Determi- 
nistic Finite Automaton，DEFA) 的 正则 
表达 式 人 硬件 加 速 方案 。 其 中 非 确 定型 有 
限 自动 机 算法 主要 是 基于 逻辑 电路 实 
现 , 需要 较 多 逻 辑 电 路 资源 ; 而 确定 型 
© 有 限 自 动机 算法 将 状态 转移 表 存 放 到 
内 存 中 , 需要 较 多 内 存 资源 。 为 了 解决 
确定 型 有 限 自动 机 算法 消耗 内 存 资 源 
多 的 缺点 , 同时 使 其 兼 具 非 确定 型 有 限 
自动 机 高 性 能 的 优势 , 我 们 提出 一 种 完 
全 基于 现场 可 编程 门 阵列 逻辑 电路 的 
确定 型 有 限 自动 机 匹配 改进 算法 。 


图 7. “(alb) cd ?改进 的 DFA 匹配 电路 


杨 妆 夫 六 指出 确定 型 有 限 自 动机 中 每 个 状态 的 大 部 分 转移 边 会 集中 到 相同 的 状态 。 我 
们 可 以 合理 利用 确定 型 有 限 自 动机 的 这 个 特征 , 将 这 些 相同 的 转移 边 合 并 , 称 之 为 默认 转移 。 
默认 转移 指向 的 下 一 个 状态 为 默认 状态 。 而 我 们 只 需要 记录 这 条 默认 转移 边 ,， 就 可 以 极 大 地 
减少 转移 边 数 ， 简 化 电路 结构 。 


图 7 为 正则 表达 式 “(alb) cd ”改进 后 的 确定 型 有 限 自动 机 的 匹配 电路 。 我 们 在 电路 中 
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看 向 高 速 网 络 内 容 安全 处 理 的 串 匹 配 算法 


使 用 了 一 个 与 门 和 与 非 门 的 级 联 实现 了 默认 转移 边 。 每 个 状态 转移 表 中 存在 的 非 默认 状态 的 
输出 ， 除 了 连接 到 各 自 对 应 的 状态 寄存 器 之 外 , 还 要 一 起 连接 到 一 个 由 或 非 门 和 与 门 组 成 的 
默认 转移 电路 上 。 如 果 当 前 状态 激活 ， 并 且 输 入 字符 对 应 的 下 一 个 状态 为 默认 状态 时 ， 该 状 
态 转移 表 中 所 有 的 与 门 输出 都 为 低 电 平 。 此 时 或 非 门 的 输入 变 为 高 电 平 , 表明 了 下 一 个 状态 
应 该 是 该 状态 对 应 的 默认 状态 。 使 用 这 种 方法 , 可 以 在 状态 转移 表 中 减少 大 量 不 必要 的 逻辑 
门 和 电路 的 扇 出 系数 ， 提 高 系统 的 吞吐 率 。 对 于 正则 表达 式 “(alb) cd ”来 说 ， 采 用 原始 的 
确定 型 有 限 自动 机 方案 需要 1543 个 逻辑 门 ， 而 改进 之 后 逻辑 门 的 数量 下 降 到 38 个 。 


为 了 能 够 全 面 真实 地 比较 改进 后 的 确定 型 有 限 自 动机 匹配 引擎 的 性 能 与 斯 德 胡 (R. 
Sidhu) [设计 实现 的 非 确 定型 有 限 自 动机 匹配 引擎 的 性 能 ， 我 们 从 L7-filter 规则 集中 提取 
了 102 条 正则 表达 式 规则 作为 测试 数据 , 分 别 记录 了 非 确 定型 有 限 自动 机 算法 和 确定 型 有 限 
自动 机 算法 消耗 的 逻辑 资源 (LE) 数 量 和 时 钟 频率 (MHz)。 测 试 结果 表明 ， 有 62% 的 规则 确定 
型 有 限 自 动机 算法 消耗 的 逻辑 资源 要 少 于 非 确 定型 有 限 自 动机 算法 ， 有 10% 左 右 的 规则 确 
定型 有 限 自动 机 算法 的 吞吐 率 要 高 于 非 确 定型 有 限 自动 机 算法 , 60% 的 规则 两 种 算法 吞吐 率 
寺 平 ， 而 有 30% 的 规则 确定 型 有 限 自动 机 算法 的 吞吐 率 要 低 于 非 确定 型 有 限 自 动机 算法 。 


ds 


| 
me 


i 


or 


4 总 结 


> 本 文 设计 了 三 种 类 型 的 串 匹 配 算法 ， 包 括 软件 算法 (最 优 窗口 选择 算法 )、 指 令 集 算法 
SS (基于 SSE 指令 集 的 串 匹 配 算 法 ) 和 硬件 算法 (基于 现场 可 编程 门 阵列 的 串 匹 配 算法 )， 它 

y 们 极 大 地 提高 了 模式 串 匹 配 的 速度 , 适用 于 高 速 网 络 内 容 安 全 处 理 系 统 。 我 们 的 下 一 步 工作 
是 设计 适用 于 超大 规模 模式 串 的 串 匹 配 算法 和 面向 高 速 网 络 内 容 安全 处 理 的 专用 系统 。 
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